Plus de 19 ans à concevoir, développer et intégrer des systèmes d'information — applications métier, bases de données, échanges de données, architectures SI. Aujourd'hui, je me spécialise activement en cybersécurité pour accompagner les PME et ETI qui souhaitent structurer leur démarche de sécurité informatique.
Avec plus de 19 ans d'expérience en développement et intégration de systèmes d'information — logistique, hôtellerie, banque, immobilier, gestion d'entreprise — j'ai conçu des architectures de bases de données, développé des interfaces entre systèmes, mis en place des échanges de données sensibles. J'ai vu de l'intérieur comment les systèmes d'information sont construits — et comment ils peuvent être fragilisés.
Cette expérience terrain est une base solide pour aborder la cybersécurité. Je ne découvre pas le SI en arrivant : je sais ce que sont les flux de données, les droits d'accès, les interconnexions entre logiciels, les zones d'ombre documentaires. Ma spécialisation en cours me permet d'enrichir cette connaissance avec les référentiels, méthodes et cadres de la sécurité des systèmes d'information.
La cybersécurité ne s'improvise pas, et elle ne se délègue pas à quelqu'un qui n'a jamais touché au code ni à une architecture SI. Mon positionnement est précisément là : apporter une vision sécurité ancrée dans la réalité technique des applications et des données.
La cybersécurité n'est pas une rupture dans mon parcours — c'est une extension logique. Un développeur expérimenté qui comprend les architectures SI, les flux de données et les intégrations est naturellement bien placé pour identifier les vulnérabilités, évaluer les risques et piloter une politique de sécurité.
Les étapes "Développeur" et "Architecte SI" sont acquises. Je suis actuellement en phase de spécialisation active en cybersécurité, avec pour objectif de proposer un service de RSSI externalisé complet à des PME et ETI.
La cybersécurité n'est pas un changement de cap — c'est l'aboutissement logique d'une carrière construite sur la conception et l'intégration de systèmes d'information. Chaque compétence acquise en développement trouve un prolongement direct en sécurité informatique.
Les failles naissent dans le code : injections SQL, mauvaise gestion des sessions, données sensibles mal chiffrées, droits mal configurés. Plus de 19 ans à écrire et relire du code, c'est savoir exactement où chercher — et comment corriger.
Modéliser des bases de données, documenter des architectures, cartographier des flux entre systèmes — ces pratiques de développeur sont au cœur de toute démarche d'analyse des risques et d'audit de sécurité.
API REST, EDI, échanges inter-systèmes, transferts de fichiers sensibles — j'ai développé ces flux. Je sais où les données transitent, comment elles sont stockées, qui y accède. C'est précisément ce qu'un audit de sécurité cherche à comprendre.
RGPD, facturation électronique, NIS2 — tout développeur travaillant sur des applications métier est confronté aux enjeux de conformité. La cybersécurité structure et approfondit cette approche avec des référentiels rigoureux.
Ma spécialisation s'appuie sur les référentiels reconnus par les autorités françaises et européennes, avec un focus sur ceux qui s'appliquent concrètement aux PME et ETI.
Guides, recommandations et référentiels publiés par l'ANSSI : guide d'hygiène informatique, référentiel de sécurité des SI, bonnes pratiques pour les PME. L'ANSSI est la référence française en matière de cybersécurité.
Méthode française d'analyse et de gestion des risques sur les systèmes d'information, développée par l'ANSSI. EBIOS RM permet d'identifier les scénarios de menace, d'évaluer les risques et de définir des mesures de traitement proportionnées.
Norme internationale de référence pour les Systèmes de Management de la Sécurité de l'Information (SMSI). L'ISO 27001 fournit le cadre de gouvernance, l'ISO 27002 les mesures de sécurité associées. Base de toute politique SSI structurée.
Directive européenne qui étend considérablement les obligations de cybersécurité aux entreprises françaises. Analyse des entités concernées, des obligations de gestion des risques, de déclaration des incidents et de la chaîne de sous-traitance.
Règlement Général sur la Protection des Données : registre des traitements, analyse d'impact (AIPD/DPIA), droits des personnes, obligations des responsables de traitement. Intersection directe avec la sécurité des SI.
Plan de Continuité d'Activité et Plan de Reprise d'Activité : identification des processus critiques, stratégies de reprise, tests de basculement. La résilience comme composante clé de la gouvernance SSI.
Ma spécialisation en cybersécurité couvre les domaines fondamentaux de la gouvernance SSI et de la gestion des risques, en me concentrant sur les référentiels qui s'appliquent aux PME et ETI françaises.
Sans attendre la certification RSSI, mon expérience de développeur senior et d'architecte SI me permet d'apporter une valeur concrète sur plusieurs missions dès aujourd'hui.
Inventaire des applications, des serveurs, des flux de données et des interconnexions. Base indispensable pour toute démarche de sécurisation ou de mise en conformité.
Identification des données sensibles qui transitent entre vos systèmes : qui envoie quoi, où, comment et à qui. Détection des flux non maîtrisés ou non documentés.
Rédaction de la documentation technique manquante : architecture des applications, schémas de bases de données, procédures de sauvegarde et de restauration.
Recensement exhaustif des logiciels en production, évaluation de leur criticité, identification des versions obsolètes, des licences et des dépendances.
Revue des accès utilisateurs sur vos applications et bases de données. Identification des droits excessifs, des comptes orphelins, des accès non révoqués.
Sessions de sensibilisation à la cybersécurité adaptées aux non-techniciens : phishing, mots de passe, gestion des données, comportements à risque.
Audit et renforcement des flux de données : chiffrement, authentification, gestion des secrets, sécurisation des API et des transferts de fichiers.
Identification des traitements de données personnelles dans vos applications, contribution au registre des traitements, recommandations techniques pour la conformité.
Ma montée en compétences en cybersécurité suit une trajectoire délibérée et structurée, avec des objectifs clairs pour l'année à venir. Voici les prestations que je me prépare à proposer.
Aide à la structuration d'une politique de sécurité des systèmes d'information : définition des objectifs, des responsabilités, des procédures et des indicateurs de pilotage adaptés à la taille et aux enjeux de l'entreprise.
Conduite d'analyses de risques selon la méthode EBIOS RM : identification des actifs sensibles, des menaces, des vulnérabilités et des scénarios de risque. Plan de traitement priorisé et proportionné.
Conception et animation de sessions de sensibilisation à la cybersécurité pour les collaborateurs non techniques : phishing, hygiène numérique, gestion des mots de passe, réflexes en cas d'incident.
Aide à la mise en conformité avec les exigences réglementaires applicables : NIS2, RGPD, ISO 27001. Diagnostic de l'existant, identification des écarts, plan d'action et suivi.
Élaboration ou révision des plans de continuité et de reprise d'activité : identification des processus critiques, définition des objectifs de reprise (RTO/RPO), rédaction des procédures et tests de basculement.
À terme : mission de RSSI à temps partagé pour les PME et ETI qui souhaitent disposer d'un responsable sécurité sans créer un poste à plein temps. Pilotage de la politique SSI, suivi des indicateurs, interface avec la direction.
Je suis consultant en cours de spécialisation en cybersécurité — pas un RSSI certifié. Je ne prétends pas l'être. Ce que j'apporte aujourd'hui, c'est une connaissance profonde des systèmes d'information acquise en plus de 19 ans de terrain, enrichie par une montée en compétences active et structurée sur les référentiels de sécurité.
Pour les entreprises qui n'ont pas encore structuré leur démarche de sécurité informatique — et qui sont nombreuses — je peux apporter une valeur concrète et immédiate : cartographie du SI, analyse des flux, audit des accès, sensibilisation des équipes, aide à la conformité RGPD. Ce sont des besoins réels, souvent non adressés faute d'interlocuteur disponible et accessible.
Le rôle de RSSI externalisé est mon objectif à terme, pas mon positionnement immédiat. Si votre situation nécessite un RSSI certifié pour une mission réglementaire critique, je vous le dirai franchement — et je vous orienterai vers le bon interlocuteur si je ne suis pas encore à ce niveau.
Un RSSI externalisé (Responsable de la Sécurité des Systèmes d'Information) est un expert en cybersécurité qui exerce cette fonction pour le compte d'une entreprise, sans en être salarié. Il intervient à temps partagé, ce qui permet aux PME et ETI d'accéder à une expertise de haut niveau sans supporter le coût d'un poste à plein temps. Un RSSI salarié senior coûte entre 80 000 et 120 000 € brut par an — un RSSI externalisé est une alternative dimensionnée à la réalité des PME.
La flexibilité, le coût et l'accès à une expertise transversale. Un RSSI externalisé intervient selon vos besoins réels — quelques jours par mois pour piloter la politique SSI, conduire un audit de sécurité ou accompagner une mise en conformité NIS2 ou ISO 27001. Vous n'avez pas à créer un poste pour un besoin qui peut être adressé différemment.
L'ISO 27001 est la norme internationale de référence pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Elle définit un cadre pour identifier, évaluer et traiter les risques liés à la sécurité de l'information. Au-delà de la certification, elle donne une structure rigoureuse à la démarche de protection des données — ce qui est utile même sans certification formelle.
NIS2 est une directive européenne qui étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité par rapport à la première directive NIS. Elle concerne les entités essentielles et importantes dans des secteurs variés (énergie, transports, santé, services numériques, fabrication…). Les entreprises concernées doivent mettre en place des mesures de gestion des risques, désigner un responsable de la sécurité et notifier les incidents significatifs aux autorités compétentes.
La plupart des vulnérabilités d'un système d'information se trouvent dans le code, dans les flux de données ou dans les droits d'accès mal configurés. Un consultant cybersécurité qui n'a jamais développé peut identifier des risques de gouvernance — mais il ne lira pas un schéma de base de données, ne comprendra pas une architecture d'échange de données, et ne saura pas évaluer la sécurité d'une procédure stockée. Moi, si.